Intel ha levantado el telón de su línea de chips Core de 13.ª generación. Según el fundador, la empresa es la primera en integrar la detección de amenazas a nivel de hardware. Combinados con las plataformas de detección y respuesta de socios (EDR) de Intel, los últimos chips vPro prometen reducir la superficie de ataque en un 70% en comparación con las PC de cuatro años. Los sistemas Windows 11 también pueden aprovechar el cifrado de memoria de este chip para brindar una mejor seguridad basada en sus capacidades de virtualización. En las pruebas realizadas por SE Labs y encargadas por Intel, la plataforma vPro tuvo una eficacia del 93 % en la detección de ataques de ransomware importantes, un aumento del 24 % en comparación con el software de seguridad por sí solo. Otras pruebas realizadas por IDC mostraron una reducción del 26 % en las infracciones “importantes”, al tiempo que mejoraron la eficacia de los equipos de seguridad en un 17 %.

Buenas noticias para sus equipos encargados de asegurar las terminales. Sin embargo, pasará tiempo antes de que las empresas puedan aprovechar plenamente los beneficios de la detección de amenazas. De hecho, es bastante común que las grandes empresas prefieran una filosofía de sustitución progresiva, es decir, que renueven un tercio [de leurs terminaux] por año durante un período de tres años, por ejemplo, dice Jack Gold, fundador y analista principal de J.Gold Associates. "Por lo tanto, los puntos finales que utilizan tecnología más antigua no estarán tan bien protegidos, pero los más nuevos sí lo estarán, lo que es un beneficio para los usuarios y la empresa en su conjunto". La tecnología de detección de amenazas (TDT) impulsada por inteligencia artificial de Intel es el núcleo de las funciones de seguridad de vPro. Funciona con soluciones de seguridad de terceros, añadiendo una capa de detección asistida a nivel de hardware. Intel TDT utiliza telemetría de CPU y heurísticas de aprendizaje automático (ML) para detectar comportamientos de ataque que dejan una "huella" en las unidades de gestión del rendimiento (PMU) de la CPU, incluido el ransomware y el cryptojacking. Esta tecnología está destinada a ser respaldada por los proveedores de EDR en sus soluciones.

Índice
  1. Las tres funciones principales de Intel TDT
  2. TDT y EDR, billetes ganadores para mayor seguridad

Las tres funciones principales de Intel TDT

- Telemetría de plataforma avanzada Identifica indicadores de compromiso (IoC) de malware y ataques conocidos. Utiliza datos de la PMU de Intel, medición de ciclos de instrucción, aciertos y errores de caché y otros datos de rendimiento. Intel entrena modelos de ML en un conjunto representativo de plataformas para cada generación de vPro, lo que permite a TDT distinguir el comportamiento del malware de las cargas de trabajo legítimas. Los datos de telemetría de entrenamiento de PMU se recopilan de simuladores que emulan algoritmos basados ​​en el comportamiento y técnicas de cifrado de ransomware para evitar, por ejemplo, quedar atrapados en las grietas de la detección del comportamiento. Se proporcionan muestras reales para equilibrar este análisis de comportamiento.

- Escaneo de memoria acelerado (AMS) detecta indicadores de ataque (IoA). Cuando se activa por un comportamiento específico, el motor AMS escanea la memoria del proceso sospechoso en busca de código shell y otros signos de actividad maliciosa. Según un informe de ABi Research encargado por Intel, AMS es particularmente adecuado para detectar malware polimórfico y ataques sin archivos que utilizan herramientas de doble uso. Estas herramientas son aplicaciones de software legítimas que pueden ser secuestradas para llevar a cabo ciberataques (como Cobalt Strike...) o entregar ransomware que también puede ejecutarse en la memoria.

- Detección de comportamiento anómalo (ABD) Supervisa las aplicaciones en ejecución para detectar comportamientos potencialmente maliciosos mediante telemetría de CPU y aprendizaje automático. Las desviaciones del comportamiento normal se marcan en tiempo real como sospechosas. "El aprendizaje automático utilizado se basa en un algoritmo que permite a ABD actualizar sus modelos mediante un entrenamiento incremental controlado", se lee en el informe de ABi Research. “Este proceso de aprendizaje continuo se puede gestionar y complementar con una solución EDR, en la que los proveedores de software de seguridad importan datos telemétricos adicionales al modelo base de una aplicación o proceso. Es probable que los actores maliciosos busquen eludir las protecciones proporcionadas por TDT, lo que lleva a Intel a planear actualizar vPro con el tiempo. Equipada con tecnologías Active Management y Endpoint Management Assistant (EMA), esta plataforma también proporciona funciones remotas de descubrimiento y reparación.

TDT y EDR, billetes ganadores para mayor seguridad

Los proveedores de soluciones antivirus y EDR pueden utilizar tecnologías de seguridad Intel configuradas de forma predeterminada. Aquellos que quieran ir más allá agregarán indicadores de su propia investigación de inferencia de ML. El fundador también tiene la intención de proporcionar actualizaciones a los editores asociados a medida que aparezcan amenazas. Entre los proveedores de soluciones EDR compatibles con TDT se encuentran Crowdstrike, Microsoft, Trend Micro, Eset, Acronis y Check Point. Las soluciones EDR que no son compatibles con TDT deberían funcionar perfectamente, pero nada más, con los últimos sistemas vPro. “Siempre es más rápido y productivo hacer cosas a nivel de hardware que intentar simular lo mismo a nivel de software. Con la IA, esto es aún más cierto”, afirma Gold. “La detección de amenazas acelerada por IA es un gran paso adelante respecto de simplemente examinar el código e intentar determinar si es malo, como lo hacen muchas soluciones antimalware. La IA estudia el comportamiento y evalúa el riesgo involucrado. Esta es una mejora importante con respecto a las soluciones basadas en firmas”.

Intel dice que las soluciones EDR compatibles con TDT funcionarán con normalidad en otros sistemas con otros chips Core de 13ª generación. “Si la aplicación detecta un componente vPro, puede explotarlo. Si el componente no está allí, todavía funciona, pero tal vez no con tanta rapidez o eficiencia”, afirma Gold. A medida que se sigan implementando sistemas con detección de amenazas basada en hardware, la mayoría de los proveedores de soluciones EDR probablemente los aprovecharán para mejorar sus propias capacidades. Y ello, “de la misma manera que se modifican los productos cuando es posible utilizar aceleradores en general. Por ejemplo, cuando tienes una GPU y no solo una CPU para creación de gráficos, juegos, HPC, etc.»